| 1.1, anonim (?), 15:13, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Эээ... Это значит если я найду где-то N-мегабайтный файл, то по-прежнему можно получить проблемы?
| | |
| |
| |
| 3.7, Аноним (-), 15:54, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ну почему же, если попросить 99.9% порнофайла - проверка не сработает, а вот тормознуть апач видимо получится. Так что у админа тоже будет порно, только с серваком в главной роли.
| | |
|
|
| |
| 2.8, Аноним (-), 15:57, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> И это они называют устранением DoS-уязвимости?
Учтя что опач на раз выносится их же собственным ab2 до состояния "форкаю 1000 процессов, пытаясь в перерывах хоть кого-то обслужить" - им к DoS явно не привыкать :)))
| | |
| |
| 3.10, Etch (?), 16:08, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> И это они называют устранением DoS-уязвимости?
> Учтя что опач на раз выносится их же собственным ab2 до состояния
> "форкаю 1000 процессов, пытаясь в перерывах хоть кого-то обслужить" - им
> к DoS явно не привыкать :)))
Вообще-то у него в настройках есть параметры, регулирующие кол-во процессов. И эти параметры надо крутить до тех пор, пока апач не перестанет выноситься их же собственным ab2...
| | |
| |
| 4.12, Аноним (-), 18:33, 31/08/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вообще-то у него в настройках есть параметры, регулирующие кол-во процессов.
Зарегулировали, допустим. Теперь ab2 (ну или кто там еще) просто заузурпирует себе всех доступных воркеров (если качать в час по чайной ложке, можно узурпировать воркера в персональное рабство на длительный срок). Сервак может и не упадет по OOM, но пользователи все-равно на сайт не попадут, только на этот раз уже потому что им воркеров не достанется.
Скажите, а вас как пользователя сильно утешит что апач на вас забил не потому что ему памяти не хватило, а потому вам воркеров не досталось? :)
| | |
| |
| 5.13, samm (ok), 19:39, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Да. Потому что ssh есть в таком случае. Ну и всякие mod_qos как и лимиты фаервола никто не отменял. И, кстати, nginx + php (fcgi) поведет себя схожим образом, не вижу тут проблем апача.
| | |
| |
| 6.15, Аноним (-), 19:58, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Да. Потому что ssh есть в таком случае.
И чем он тут поможет? Юзерам по нему содержимое сайта не отдашь и мерзостные свойства апача под нагрузкой - не улучшишь.
> Ну и всякие mod_qos как и лимиты фаервола никто не отменял.
Ваш щит - из картона. И протыкается простым карандашом. Ну вот например простой карандаш для борьбы с тупыми админиами: просто и брутально, "torify ab2". Одна строка. Две программы. По зубам любому пятиклашке способному загрузиться с ливцд. Куда после этого идут ваши лимиты на фаере и как вы вон те 100 конекций отличите от 100 легитимных хомяков?
> И, кстати, nginx + php (fcgi) поведет себя схожим образом, не вижу тут проблем
> апача.
Ну как бы он на случай опы умеет довольно грамотное кеширование, так что если жизнь прижала, школьнички наглеют или вы просто попали под хабраслэшдотлорэффект - можно подзаморочиться кешированием и во многих случаях избавиться от дергания пыха на каждый пшик. А вот в таком режиме оно и гигабит влегкую прогрузит. Тут уже школьничек как максимум канал себе прогрузит, но серваку все это будет фиолетово. Все-равно у сервака в ДЦ около какого-нибудь из IXов канал лучше чем у большинства школьников вот так сходу доступно без существенных затрат ;).
| | |
| |
| 7.19, Аноним (-), 05:58, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Ну вот например простой карандаш для борьбы с тупыми админиами: просто и брутально, "torify ab2". Одна строка. Две программы. По зубам любому пятиклашке способному загрузиться с ливцд. Куда после этого идут ваши лимиты на фаере и как вы вон те 100 конекций отличите от 100 легитимных хомяков?
Для (Максим - тут жестко - но правда!) - для _ТУПЫХ_ салаг - например ты увидишь что один основная нагрузка идёт с одного IP.
Тупые админы как спали - так и спят потому как таких прыщавых хацкеров обрабатывают тупые же скрипты :) Одмины просыпаются когда что то серьёзное приходит, а не ты :)
PS: Это не значит что индеец сам по себе вас защитит. Ну дык и nginx применённый безмозгло "только и может что 502 ошибку показывать" :)
| | |
| |
| 8.25, samm (ok), 10:50, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Вот да, много У меня есть, в частности, скрипты которые постоянно анализирую... текст свёрнут, показать | | |
| |
| |
| 10.38, samm (ok), 20:20, 02/09/2011 [^] [^^] [^^^] [ответить] | +/– | Я, в отличии от вас залогинен Надеюсь, мой рабочий email asamorukov at ebay com... текст свёрнут, показать | | |
|
|
| 8.27, Аноним (-), 19:06, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Так при помощи же указанного выше tor продайте штаны, купите очки или там уймы... большой текст свёрнут, показать | | |
| |
| 9.28, samm (ok), 19:18, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Сегодня же первое сентября Откройте для себя, наконец 1 Чем отличается динами... текст свёрнут, показать | | |
| |
| 10.33, Аноним (-), 21:09, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Внезапно, большая часть динамики запросто становится статикой Хотя-бы временно ... большой текст свёрнут, показать | | |
|
|
|
| 7.24, samm (ok), 10:47, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Тем, что позволит администратору принять меры Тиоретег 1 если уж через тор... большой текст свёрнут, показать | | |
|
|
| 5.16, Etch (?), 22:25, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Вообще-то у него в настройках есть параметры, регулирующие кол-во процессов.
> Зарегулировали, допустим. Теперь ab2 (ну или кто там еще) просто заузурпирует себе
> всех доступных воркеров (если качать в час по чайной ложке, можно
> узурпировать воркера в персональное рабство на длительный срок). Сервак может и
> не упадет по OOM, но пользователи все-равно на сайт не попадут,
> только на этот раз уже потому что им воркеров не достанется.
Поставьте nginx фронтендом и не парьте людям мозг. Работа сайта при правильной настройке будет упираться в процессор, а не память и кол-во воркеров. Апач делает только свою часть работы по отдаче динамики и делает её хорошо.
| | |
| |
| 6.17, Аноним (-), 23:50, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Поставьте nginx фронтендом и не парьте людям мозг.
Lol! Я его поставил вообще ВСЕМ. Мне нравится.
> Работа сайта при правильной настройке будет упираться в процессор,
Epic fail! При _правильной_ настройке упираться будет в I/O скорее. В основном в дисковое, особенно если вы не Рокфеллер и потому SSD во все ддыры еще не закупились.
> а не память и кол-во воркеров.
Сдуру можно и кое-что сломать. А с какого рожна, собственно, должно в проц упираться? Особенно если включить мозг и кеширование сделать?
> Апач делает только свою часть работы по отдаче динамики и делает её хорошо.
Это спорно. В смысле, с порно, судя по новостям :))). Вообще, динамику можно и без апача как-бы отдавать. Хоть тем же нжинксом. И конфигурить 1 сервер определенно проще чем 2 разнотипных. При том второй еще и неповоротливый утюг, авторы которого к тому же выбирают какой-то очень странный метод затыкания дыр, вызывающий вопрос "что вы там курите, господа?".
| | |
| |
| 7.18, Etch (?), 00:31, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Поставьте nginx фронтендом и не парьте людям мозг.
> Lol! Я его поставил вообще ВСЕМ. Мне нравится.
Спасибо за информацию...
>> Работа сайта при правильной настройке будет упираться в процессор,
> Epic fail! При _правильной_ настройке упираться будет в I/O скорее. В основном
> в дисковое, особенно если вы не Рокфеллер и потому SSD во
> все ддыры еще не закупились.
Мы тут вроде про динамику говорим, иначе зачем нам вообще апач сдался?
>> а не память и кол-во воркеров.
> Сдуру можно и кое-что сломать. А с какого рожна, собственно, должно в
> проц упираться? Особенно если включить мозг и кеширование сделать?
Это уже зависит от контента, он может и не предполагать возможности кэширования. Ключевым в моём посте было указание на отсутствие жёсткой зависимости от кол-ва памяти.
| | |
| |
| 8.30, Аноним (-), 20:01, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | А динамики на самом деле не так уж много И значительная ее часть сводится кешир... текст свёрнут, показать | | |
| |
| 9.32, samm (ok), 20:59, 01/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– | дадада Вот расскажите мне, расскажите online аукцион или магазин несомненно мо... текст свёрнут, показать | | |
| |
| 10.34, Аноним (-), 21:47, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Значительные куски - можно А почему, собственно, нет Ну вот например при прост... большой текст свёрнут, показать | | |
|
|
|
|
| 6.21, Аноним (-), 06:07, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Поставьте nginx фронтендом и не парьте людям мозг. Работа сайта при правильной
> настройке будет упираться в процессор, а не память и кол-во воркеров.
> Апач делает только свою часть работы по отдаче динамики и делает её хорошо.
Или лайти. Или Squid as reverse proxy. Или Varnish (-этот просто зверь!) или ещё 100500 вариантов.
Но только вот ведь какое дело - кому надо давно сделали (лет тому же креведко не намного меньше чем индейцу). а плачь школоты есть неизбежность процесса обучения. Как говорится пока пуд корок не съешь .... :-)
| | |
|
|
|
|
|
| 1.4, Аноним (-), 15:49, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> расходуется слишком много памяти.
По-моему, в случае апача с его форками на каждое соединение это и без всяких range та еще проблема. Можно просто открыть кучу соединений но ничего по ним не качать особо, что требует очень немного ресурсов у атакующего хоста. А апач будет держать для вас сотни процессов, кушая при этом дофига памяти. Ну или при лимитировании числа процессов - он забьет на обслуживание других пользователей, т.к. все воркеры будут заниматься держанием соединений, что тоже неплохо. Какая разница, как именно положить апач - съев всю память или заняв на себя все воркеры? Для юзеров результат одинаков: сайт недоступен.
| | |
| |
| |
| 3.31, Аноним (-), 20:09, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А вы и статику mpm_prefork'ом обслуживаете? Ню-ню.
Нет, конечно - я нжинксом все делаю. Но почему-то 90% виденых сайтов на опаче нисколько не стесняются так отдавать чуть ли не исошки, не говоря о многомеговых фотках или чем там еще. И порой очень хочется придушить админов сайтов за чебурашью скорость скачки, лимиты на число соединений, тормозные ответы сервака и прочие костыли и тупняки нацеленные на то чтобы апач не сыграл окончательно в ящик.
| | |
|
| 2.35, Avator (ok), 05:55, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 т.е. по вашему мнению недоступность сервиса и выполнение кода злоумышленника на сервере это одно и тоже?
| | |
| |
| 3.37, Аноним (-), 19:00, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> т.е. по вашему мнению недоступность сервиса и выполнение кода злоумышленника на сервере
> это одно и тоже?
Не понял где вы хоть слово про выполнение кода нашли вообще. Что в новости, что в коментах.
| | |
|
|
| 1.6, Аноним (-), 15:52, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> если сумма всех диапазонов больше оригинального файла
О, то-есть, если я попрошу только 99% от файла, даже огромного, мне за это ничего не будет? Делаем ставки через сколько минут появятся доработанные варианты скриптов обходящих такую грамотную "защиту" :)))
| | |
| |
| 2.23, AlexAT (ok), 07:55, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> если сумма всех диапазонов больше оригинального файла
> О, то-есть, если я попрошу только 99% от файла, даже огромного, мне
> за это ничего не будет? Делаем ставки через сколько минут появятся
> доработанные варианты скриптов обходящих такую грамотную "защиту" :)))
Защита на самом деле грамотная. Суть DoS в том, что можно было попросить 100500 копий файла сразу, т.е. заставить апач сбуферизовать и отдать пару гиг из килобайтного файла. Это fail. А то, что можно из легитимного файла попросить 99% тысячей range - это на расход памяти с предложенным и внедренным патчем уже не особо влияет, и по трафику вполне эквивалентно запросу 99% одним range, и даже меньше запроса целого файла. Так что все нормально.
Такое впечатление, что кто-то немного суть уязвимости не понял. Расход памяти на обработку range - это была вторичная проблема, первичная - в возможности заставить апач отдать 100500 копий одного файла. Кстати, у того же nginx (если он конечно Range поддерживает согласно стандарту, и если он не "чистый proxy"), может обнаружиться такая же проблема - надо пробовать. К сожалению, сам уже не попробую - со всех площадок вынес его, и заменил на минималистичную сборку Apache с mpm_worker - поддержка keepalive на прокси-соединениях оказалась нужнее.
| | |
| |
| 3.26, Nas_tradamus (ok), 15:28, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Т.е., теперь если запросить по отдельности 99 байт файла из 100, то не породится 99 форков Апача?
| | |
|
|
|
